Non sono sicuro se sia meglio qui sulla sicurezza delle informazioni o su serverfault o Network Engineering.
Abbiamo una società che prende gli ordini telefonici per telefono utilizzando un terminale virtuale. PCI-DSS 3.2 dice che per questo è permesso:
Merchant accesses the PCI DSS-compliant virtual terminal solution via a computer that is isolated in a single location and is not connected to other locations or systems within the merchant environment;
e poi nel questionario:
1.2. Do firewall and router configurations restrict connections between untrusted networks and any system in the cardholder data environment as follows: Note: An “untrusted network” is any network that is external to the networks belonging to the entity under review, and/or which is out of the entity’s ability to control or manage.
(a) Is inbound and outbound traffic restricted to that which is necessary for the cardholder data environment? Review firewall and router configuration standards Examine firewall and router configurations
(b) Is all other inbound and outbound traffic specifically denied (for example by using an explicit “deny all” or an implicit deny after allow statement)?
Ciò significa che la macchina su cui vengono immesse le informazioni della carta di credito deve essere completamente isolata da tutto il resto della rete nella sua interezza, usando il firewall o un vlan? Ciò causerebbe un problema reale in quanto devono anche accedere a una macchina centrale per condividere file per altri lavori di assistenza clienti e un server SQL interno.
Sto leggendo troppo in questo, e che l'accesso alle risorse centrali sarebbe di fatto a posto - ma altre macchine non di servizio clienti dovrebbero essere bloccate? Grazie in anticipo